互联网协会-电子政务安全

电子政务安全第一章电子政务概念第1节电子政务概述第2节电子政务组成第3节国外电子政务第4节中国电子政务第5节电子政务发展第1节电子政务概述1、电子政务定义2、电子政务的建设目标3、电子政务平台4、电子政务建设标准5、电子政务体系结构1、电子政务定义（1）电子政务是利用电子化、信息化的手段，使得政府运作效率能够提高，降低成本，提升人民的满意度，电子政务的本质是“以网络为工具，以用户为中心，以应用为灵魂，以便民为目的”1、电子政务定义（2）所谓电子政务是指政府运用现代电脑和网络技术，将其承担的公共管理和服务职能转移到网络上进行，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向社会提供高效优质、规范透明和全方位的管理与服务。电子政务的实施使得政府事务变得公开、高效、透明、廉洁和信息共享，与此同时，也使得政务信息系统安全问题更加突出和严重，影响电子政务信息系统功能的发挥，甚至对政府部门和社会公众产生危害，严重的还将对国家信息安全乃至国家安全产生威胁。因此，从分析电子政务信息系统的构成与特点出发，认识电子政务信息系统安全的重要性，把握电子政务信息系统安全的影响因素和要求，建设电子政务信息系统安全的保障体系是发展电子政务的关键所在，具有极其重要的意义。优化政府管理工作的各核心业务流程，提高工作透明度，降低政府运行费用，提高办公效率，以更好地发挥政府宏观管理、综合协调与服务的职能为总体目标。也要有利于勤政、廉政建设，应在推进社会信息化进程、牵引IT产业需求、营造我国信息产业的健康发展环境方面发挥重要作用。2、电子政务的建设目标电子政务与国情、省情市情密切相关，必须建立统一的电子政务平台。电子政务平台是：信息化网络平台；基于国家信息化推动的政策法规制定的平台；国家信息资源管理平台；基于WEB服务的政务的全过程服务平台；基于人工智能的决策电子政务平台按四个阶段来实施：1、数字化阶段。2、WEB化阶段。3、资源化阶段。4、平台化阶段（GRID到全国性EG平台）3、电子政务平台应用支持服务标准：综合服务平台技术规范、信息交换技术规范和路由技术规范安全标准：CA技术规范、加密、数字签名、电子印章技术要求、XML安全技术要求、网络（内、外网）安全技术规范和网络传输加密技术要求4、电子政务建设标准（1）网络设施标准：电子政务专网建设技术规范、电子政务专网建设验收规范管理标准：用户管理、业务管理、网络管理技术规范、工程监理规范、系统监控和系统备份技术要求

4、电子政务建设标准（2）在电子政务体系中：通讯网络是基础，管理和安全是支柱，业务应用和服务是核心电子政务系统在基础网络平台上由公众服务网和内部办公网两大服务系统所组成。

公众服务网：管理社会和服务社会

内部办公网：实现政府部门办公自动化为领导决策提供基础性服务并建设政府内部信息系统

资源管理网：两大系统的桥梁。通过安全网关处理两大系统之间的信息交流和业务流转，其主要功能是信息共享、政府公文处理和政务业务处理。5、电子政务体系结构第2节电子政务组成1、系统概述2、系统的构成3、系统的特点4、系统的结构模型1、系统概述信息系统，即信息传递交流系统，一般是指将信息从信息源传递给有关用户的职能系统。信息系统的发展与信息处理技术的进步密切相关。信息系统的功能、效率，均取决于信息处理、传递技术的先进与否。电子政务与传统政务活动相比，其优势就是借助现代信息技术和信息系统实现信息的有效流动。实质上，电子政务的发展就是基于电子政务信息系统的完善和发展。2、系统的构成（1）所谓电子政务信息系统是一个基于网络的，符合Internet技术标准的面向政府机关内部、其它政府机构、企业以及社会公众的信息服务和信息处理系统。它由政府部门内部电子化、网络化政务信息子系统，政府部门之间通过网络进行的政务信息子系统，政府部门与社会和公众之间通过网络进行的政务信息子系统组成，其系统构成包括：1个信息资源中心+3个信息管理模块。如图所示：2、系统的构成（2）3、系统的特点（1）电子政务信息系统是一个以计算机网络技术为基础，以共享、交流、协作为核心，以政务的信息流、工作流相对集成为基本结构的系统，其特点主要表现为：开放。指在法律允许范围内政府信息的公开和可获得性，以及管理和沟通渠道公开，便于公众获得政府信息，办事和监督。协同。在电子政务信息系统中，政府机构的每一个部门，由网络连接起来协同工作，打破了地域、层级、部门的限制，促使政府组织和职能的整合，让政府部门之间的信息能够流通、共享，使公众享受到无组织边界的政治服务。3、系统的特点（2）交互。系统保证任何个人、企业和团体组织，都可以直接通过交互式的技术手段表达和传递信息，政府与公众和企业等团体组织可以直接地交流沟通。服务。电子政务信息系统最突出的功能便是提供信息服务。这种理念使得公众和企业等团体组织成为政府机构的服务的客户，政府要确定服务标准，向客户作出承诺，政府职能由控制型转向为控制——服务型。直通。电子政务信息系统通过计算机网络减少中间环节，寻求最佳途径，保证信息交换的“直通”，确保信息畅通。4、系统的结构模型（1）电子政务信息系统是一个复杂的技术化体系，从表现形态看是由包括终端系统、局域网、广域网、通过广域网组成的专用网、虚拟网、因特网等一系列实体组成，从结构描述的角度看，应包含基础设施、体系结构和基础功能三部分。其结构模型可由图描述：4、系统的结构模型（2）第3节中国电子政务1、国外电子政务2、近年来电子政务发展的主要方面3、各地政府信息化建设的投资状况4、2003年电子政务项目的投资情况5、实际建设成就1、国外电子政务美国1997-1998大力推行信息高速公路工程建设1998-1999建立完善各州政府网站和信息发布2001-2002组建全球最大的政府网站，连接全美2万个站点2000-2003联邦机构全部实现上网办公日本1997-1998跟随美国同步建立信息网络系统2000-2001启动新纪元工程2003-2005100%用计算机完成政府事务2、近年来电子政务发展的主要方面重点方向是内网建设、电子政务业务系统、办公自动化(OA)、外网建设、数据库建设和信息安全“内网”指的是各级政府和国家机关用于内部办公的局域网和广域网电子政务业务系统：各级政府和国家机关对内对外的业务处理、管理系统，如网上审核系统、税收征管系统、公安综合管理系统等外网指各部门面向其他部门、企业和公众，与互联网直接相连的网络把内网建设作为信息化建设重点方向的政府机关数目最多，大致占政府机关的48%把电子政务业务系统作为重点方向的约47%把OA作为重点方向的约37%3、各地政府信息化建设的投资状况计世资讯(CCWResearch)最新研究表明2002年政府机构IT投入达到300亿人民币其中硬件230亿人民币，软件38亿人民币，IT服务32亿人民币2003年政府信息化建设的投资力度继续增长估计政府机构的IT投入为350亿人民币，增长率达17%超过60%的政府部门2003年将增加信息化建设投资其中近30%呈大幅增加趋势只有8%的政府部门2003年的信息化建设投资预算相对2002年将有一定程度萎缩4、2003年电子政务项目的投资情况2003年重点IT项目的投资规模较分散政府部门规划的2002年～2003年信息化建设重点项目中，投资规模在100万以下的项目占33%；投资预算在100万～1000万之间的项目占40%；投资规模在1000万以上的项目占27%，其中6%的信息化建设项目投资规模在5000万以上电子政务业务系统中，投资规模在100万以下的项目占21%;投资预算在100万～1000万之间的项目占43%；投资规模在1000万以上的项目占36%，其中11%的项目投资规模在5000万以上内网建设项目中，投资规模在100万以下的项目占20%；投资规模在100万～1000万之间的项目占46%；投资规模在1000万以上的项目占34%，其中3%的项目投资规模在5000万以上OA项目的投资规模多在500万以下，500万以上的项目比例仅为11%，其中投资规模在100万以下的项目占61%;投资规模在100万～1000万之间的项目占30%；而投资规模在1000万以上的项目占9%5、实际建设成就（1）2002年，《电子政务领导——将规划变为现实》(eGovernmentLeadership?RealizingtheVision)埃森哲咨询公司连续三年考察了全球23个国家和地区的电子政务发展状况关于电子政务的全球性研究报告7月，《中国电子政务的现状——构建未来发展的平台》国信办委托针对中国的电子政务调研与各国和地区排序对比5、实际建设成就（2）电子政务的总体成熟度服务成熟度。服务成熟度权重70％客户关系管理(CRM)。CRM水平权重30％服务成熟度比提供服务所采用的方式(CRM水平)更重要服务成熟度的广度＝能否提供某种服务服务成熟度的深度＝提供服务的水平四个类别（共24个国家）充满创新精神的领先者(InnovativeLeaders)有远见的挑战者(VisionaryChallengers)表现出色的新兴力量(EmergingPerformers)平台建设者中国政府电子政务的总体成熟度为23％，尚处于正在建设平台的阶段，落后于其他19个被调查者5、实际建设成就（3）中国政府能够以在线方式提供的服务共有52项其中的46项已经实现了某种程度上的在线服务中国电子政务服务成熟度的广度(国家级政府提供的在线服务的数量)达到了88％，超过全球85.5％的平均水平电子政务服务成熟度的深度(所提供的每种在线服务的完善程度)能够说明服务的复杂程度，中国仅为28％，表明中国政府通过网络提供的大多数服务目前仅限于信息发布的阶段，双向互动服务的能力仍然非常薄弱在CRM利用情况方面，中国位居第14原因在于中国各政府站点之间实现了链接根据某种需求有意识地进行的网站设计中国在线服务的复杂程度仍然比较低，要想将CRM充分运用于中国电子政务，还有很长的路要走。第4节电子政务发展1、中国电子政务的现存问题

2、电子政务发展目标

3、电子政务发展框架

1、中国电子政务的现存问题对电子政务尚无明确定位

缺乏统一领导与规划

整体立法滞后

基础条件比较落后

2、电子政务发展目标（1）电子政务发展目标应包括公共管理和应用功能二大发展目标。所谓政府的公共管理目标模式，是指政府在市场经济条件下的角色定位。从国外20年来行政改革的实践看，传统的公共行政已发生了很大的变化，即由公共行政发展到公共管理。其主要标志是：政府一改过去对社会过多包揽的做法，而是更注重发挥市场的力量，政府的职责主要集中在公共领域；公共事务管理主体，由过去的政府独家垄断，逐步向多元化方向发展；政府管理方式，大量的引入市场机制，推行公共管理社会化和公共服务市场化，并把现代企业管理的方法如成本效益、投入产出等引入政府管理中来。2、电子政务发展目标（2）电子政务应用功能发展目标，就是整体要确立一种政府对政府、政府对社会、政府对企业的功能架构。根椐我国国情和政府工作的特点，应用功能发展目标：一是跨地区、跨部门的综合业务业务服务，实现决策信息资源化；二是实现指挥调度和快速反应现代化；三是实现日常办公业务规范化、网络化、无纸化；四是在国际互联网上为公众服务，开展电子福利支付、电子税务、电子身份认证等。

3、电子政务发展框架（1）组织规划框架：必须由国务院设立专门的电子政务领导机构，相关部门配合（国家有关部、委及电信等部门），统一领导、组织中央与地方政府的电子政务建设。先从部门之间的协调开始，成立相关小组，形成全局委员会的形式。实际上，现在的产业分类和按部门进行管理的做法都是在原来的技术条件下建立起来的。而电子政务既要跨越整个电子信息技术产业，协调整合各产业部门的发展与利益，同时也要平衡现有的各管理部门的利益关系。从我国现实情况来看，电子政务恰恰也就难在条块利益的分割上。所以，没有综合性的权威部门根本办不了真正的电子政务工程。3、电子政务发展框架（2）网络通讯基础框架：根据我国的基本国情，政府的计算机网络实际上是由三个网组成：外网（Internet）、专网（Extranet）和内网（Intranet）。

3、电子政务发展框架（3）应用和服务框架：由于政府职能涉及面广泛性（应用范围）和政府职能的多样化和复杂性（服务功能），电子政府系统的建设在范围角度和功能角度都应该是分阶段实施完成的。第二章安全电子政务第1节电子政务技术第2节电子政务安全需求第3节电子政务安全体系第4节电子政务安全关键技术第1节电子政务技术1、WEB2、OA3、电子邮件4、数据库1、WEB2、OA3、电子邮件4、数据库第2节电子政务安全需求1、网络2、信息3、设备4、管理1、网络从网络层次看，包括1)可靠性。即保证网络和信息系统随时可用，运行过程中不出现故障，若遇意外打击能够尽量减少损失并尽快恢复正常；2)可控性。即保证营运者对网络和信息系统有足够的控制和管理能力；3)互操作性。即保证协议和系统能够联接：4)可计算性。即保证准确跟踪实体运行达到审计和识别的目的等2、信息从信息层次看，包括1)信息的完整性。即保证信息的来源、去向、内容真实无误：2)保密性。即信息不会被非法泄露扩散；3)不可否认性。即保证信息的发送和接收者无法否认自己所做过的操作行为等。3、设备从设备层次看，包括质量保证、设备备份、物理安全等。

4、管理从经营管理层次看，包括人员可靠、规章制度完善等。第3节电子政务安全体系1、安全保障体系模型

2、安全保障体系方案

3、安全组织管理1、安全保障体系模型电子政务信息系统安全保障体系应该是一个在充分分析系统安全风险因素的基础上，通过制定系统安全策略和采取先进、科学、适用的安全技术能对系统实施安全防护和监控，使系统具有灵敏、迅速的恢复响应和动态调整功能的智能型系统安全体系。其模型可用公式表示为：系统安全=风险评估+安全策略+防御体系+实时检测+数据恢复+安全跟踪+动态调整2、安全保障体系方案（1）2、安全保障体系方案（2）3、安全组织管理（1）安全组织包括建立健全组织体系，明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。制定系统安全保障方案，实施安全宣传教育、安全监管和安全服务。发达国家一般都建立有信息安全管理机构，美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会；英、法等国家建立了“国家信息安全委员会”：德国成立了“国家信息安全局”。我国设置信息安全管理机构可采用建立专门信息安全管理机构或在现有的安全部门下设立信息安全管理分支机构。

3、安全组织管理（2）安全宣传教育主要是指利用各种方式对公务员以及全社会进行信息安全意识的培养和信息安全知识的普及，树立信息安全第一的思想，同时倡导信息伦理，提高公务员和公民的信息安全自律水平。安全监管强调通过管理手段实现管理方式的安全保护，主要内容包括人员管理、设备管理、软件管理、介质管理、密钥管理、口令管理、文档管理等。

3、安全组织管理（3）安全服务主要是通过各种技术手段实现技术层次的安全保护，主要技术包括主机监控、网络监控、身份验证、数字签名、访问控制、攻击监测、审计跟踪等。安全防御就是通过分析网络结构和应用情况，在与公共网络连接的关键点上设置安全屏障，在局域网的不同级别子网之间放置安全屏障。安全屏障包括安全通道、安全隧道和安全门道。主要的安全技术有防火墙技术、安全路由器技术和信道加密技术等。第4节电子政务安全关键技术1、访问控制2、认证3、保密通信4、网络监控5、安全网管1、访问控制防火墙物理隔离2、认证身份认证电子签名3、保密通信电子邮件安全VPNSSL4、网络监控5、安全网管风险评估安全审计取证跟踪第三章物理隔离技术第1节两类隔离技术第2节物理隔离原理第3节物理隔离分类第4节物理隔离应用第5节物理隔离不足第1节两类隔离技术1、防火墙概念2、物理隔离概念3、物理隔离优点4、两者之间关系1、防火墙概念防火墙技术依赖于对通过防火墙的数据包的信息进行检查，检查的越多就越安全。当然，检查的越多，对防火墙系统设备性能的要求就越高。在防火墙的体系架构中，效率速度与防火墙的安全性，一直是一个折中方案，高性能，高安全性，易用性方面的矛盾并没有很好的解决。防火墙技术实现的是被保护对象和外部网络系统间的逻辑隔离。操作系统和防火墙软件系统是防火墙系统的必要组成部分，两者的缺陷自然造成防火墙的安全瓶颈。防火墙体系架构在高安全性方面的缺陷和逻辑隔离的特性，驱使人们追求更高安全性的解决方案，物理隔离技术应运而生。2、物理隔离概念“物理隔离”就是指实现内部网不直接或间接地通过有线或无线等任何手段连接到公共网，从而使内部网络和外部公共网络在物理上处于隔离状态的一种物理安全技术。从这个概念上看，物理隔离是保证物理安全的一个有效手段，物理安全的目的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击；只有使内部网和公共网“物理隔离”，才能真正保证内部信息网络不受来自互联网的黑客攻击。此外，"物理隔离"也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。3、物理隔离优点中断直接连接，并且有强大的检查机制，具有最高的安全性。它的缺点是：对协议不透明，针对每一种协议都要一种具体的实现。利用SCSI接口技术，物理隔离在性能上可以达到320MBps的速度，利用实时交换可以达到1000Mbps的速度。在安全性上，针对目前存在的安全问题，对物理隔离而言在理论上都不存在任何威胁。这就是各国政府和军方都强制推行物理隔离的主要原因。4、两者之间关系物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。第2节物理隔离原理1、网络开关（NetworkSwitcher）2、实时交换（Real-timeSwitch）3、单向连接（OneWayLink）1、网络开关（NetworkSwitcher）在一个系统里安装两套虚拟系统和一个数据系统，数据被写入到一个虚拟系统，然后交换到数据系统，再交换到另一个虚拟系统2、实时交换（Real-timeSwitch）实时交换，相当于在两个系统之间，共用一个交换设备，交换设备连接到网络A，得到数据，然后交换到网络B3、单向连接（OneWayLink）单向连接，早期指数据向一个方向移动，一般指从安全性高的网络向安全性低的网络移动第3节物理隔离分类1、第一代隔离技术2、第二代隔离技术3、第三代隔离技术4、第四代隔离技术5、第五代隔离技术1、第一代隔离技术第一代隔离技术：完全的隔离。此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。2、第二代隔离技术第二代隔离技术：硬件卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。相比之下，单硬盘隔离卡更为先进，其实现原理是将原计算机的单个硬盘从物理层上分割为公共和安全两个分区，安装两套操作系统，从而实现内外网的安全隔离。用户可以根据自己的需要在不同的网络环境（内网或外网）中自由切换，操作时感受不到任何区别。但是，不管哪种隔离卡技术，仍然需要网络布线为双网线结构，这样势必存在着较大的安全隐患。3、第三代隔离技术第三代隔离技术：数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。4、第四代隔离技术第四代隔离技术：空气开关隔离。它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题5、第五代隔离技术第五代隔离技术：安全通道隔离，又称为网闸技术。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。第4节物理隔离应用1、客户端的物理隔离2、集线器级的物理隔离3、服务器端的物理隔离4、应用概论1、客户端的物理隔离客户端的物理隔离：到目前为止，应用得最多的是客户端的物理隔离方案。这种方案用于解决网络客户端的信息安全问题。假定某机构的网络已经分为了两个网络，一个是内部涉密网，一个是外部公共网，内部涉密网用于安全工作的涉密环境，不与外部网络有任何的连接；外部公共网则是开放的，可以连接Internet等公众网以获取及发布信息。在网络的客户端应用物理隔离卡产品，可以使一台工作站计算机既可连接内网又可连接外网，可在内外网上分时工作，同时，绝对保证内外网之间物理隔离，起到了方便工作、节约资源等目的。在客户端物理隔离产品中，应用较广的是第二代的物理隔离卡技术。2、集线器级的物理隔离集线器级的物理隔离：集线器级的物理隔离产品需要与客户端的物理隔离产品结合起来应用，可以在客户端的内外双网的布线上使用一条网络线来通过远端切换器连接内外双网，实现一台工作站连接内外两个网络的目的，并在网络布线上避免了客户端计算机要用两条网络线连接网络。3、服务器端的物理隔离服务器端的物理隔离：服务器端的物理隔离技术是一种崭新的高级隔离技术，现在国外的产品已经应用，它通过复杂的软硬件技术实现了在服务器端的数据过滤和传输任务。第四、第五代物理隔离技术都是基于服务器的产品。4、应用概论我国目前对物理隔离产品有需求的行业范围为军事、政府部门、金融、安全机构等已经建立或正在建立独立的信息通讯系统的行业，而这些行业都需要一种足以保障自身安全又可以实现网络通讯的产品。同时出于对产品的绝对了解，国家规定了在这些领域所使用的安全产品必须是由国内独立开发完成的。这就意味着在物理隔离市场上我们的民族企业具有特殊性和唯一性。第5节物理隔离不足1、物理隔离不足（1）物理隔离也存在许多弊端。例如，内网用户就无法使用丰富的国际互联网的各种资源，譬如查询资料和国际电子邮件，而对于用户来说，这些又是对工作非常需要的。另外，要做到真正的物理上的隔离，还会导致投资成本的增加，占用较大办公空间。而且如果使用两台机器分别接入内网和公网的话，还存在网络设置复杂、维护难度较大的问题。1、物理隔离不足（2）信息安全的核心问题是人，任何系统都是“人机系统”，不能把人排除在外。如果网络和系统用户没有责任心和安全意识的话，那么一切安全设施就形同虚设，虽然物理隔离可以防范来自外界的攻击，然而来自网络内部人员的攻击却是最可怕的，因为大部分的网络危害实际上来自于内部网络。只具备了先进的网络安全解决方案是不够的，关键还要有良好的网络安全意识，才能做到防患于未然。在很多企事业单位里，网络安全人员的缺乏和人们信息安全意识的缺乏已到了相当严重的地步。快速培养专门的信息安全高级人才和广泛提高社会人员的安全意识，也是网络安全建设的一项重要任务。1、物理隔离不足（3）安全本身不是目的，它只是一种保障。构筑网络安全体系是一项艰巨复杂的系统工程，从健全的安全法规政策，到相应的安全管理策略，再到安全解决方案的选择和实施，每一个环节都是建立网络安全体系不可缺少的。而且并不存在一种完美的安全解决方案。任何一种安全防范的措施都是有利有弊的，关键是权衡其利弊，使其更适合自己的安全需求1、物理隔离不足（4）对于“物理隔离技术”而言，要使其真正地发挥优势，不仅要选择适合的物理隔离产品，制定相应的安全解决方案，真正做到物理上的隔离以保证信息的机密性和完整性，还要实施完善的安全策略和管理措施，才能保证物理隔离产品和安全解决方案的实施真正发挥作用第四章网络取证技术第1节计算机取证概念第2节电子证据技术第3节计算机取证过程第4节相关法律需求第1节计算机取证概念1、背景2、概念1、背景计算机取证技术是安全网络管理技术的延伸之一。随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中，与计算机相关的法庭案例（如电子商务纠纷，计算机犯罪等）也不断出现。一种新的存在于计算机及相关外围设备（包括网络介质）中的电子证据逐渐成为新的诉讼证据之一。大量的计算机犯罪,如商业机密信息的窃取和破坏，计算机欺诈，对政府、军事网站的破坏等等，这些案例的取证工作需要提取存在于计算机系统中的数据，甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程的许多有别于传统物证和取证的特点，对司法和计算机科学领域都提出了新的挑战。2、概念（1）作为计算机取证方面的资深人士，JuddRobbins先生对此给出了如下的定义：“计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。证据可以在计算机犯罪或误用这一大范围中收集，包括窃取商业秘密，窃取或破坏知识产权和欺诈行为等。”­­­计算机专家可以提供一系列方法来挖掘贮存于计算机系统中的数据或是恢复已删除的、被加密的或被破坏的文件信息。这些信息在收集证词、宣誓作证或实际诉讼过程中都可能有帮助。2、概念（2）计算机紧急事件响应和取证咨询公司NewTechnologies进一步扩展了该定义：计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。SANS公司则归结为如下说法：计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。而Sensei信息技术咨询公司则将其简单概括为对电子证据的收集、保存、分析和陈述。2、概念（3）Enterasys公司CTO、办公室网络安全设计师DickBussiere则认为计算机取证也可以称作计算机法医学，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。该定义强调了计算机取证与法学的关联性。2、概念（4）综合以上定义，我们认为，计算机取证是指对能够为法庭接受的、足够可靠和有说服性的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程，它能推动或促进重构犯罪事件，或者帮助预见有害的未经授权的行为。第2节电子证据技术1、电子证据的概念

2、电子证据的特点

3、电子证据的优点4、常见电子设备中潜在的电子证据

1、电子证据的概念在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。2、电子证据的特点（1）电子证据的存在形式是电磁或电子脉冲，缺乏可见的实体。但是，它同样可以用专门工具和技术来收集和分析，而且有的可以作为直接证据。如美国联邦证据法（USFederalRulesofEvidence）规定，在规范活动中产生的电子记录不属于传闻证据，可以被法庭采用。如规范的电子商务、政务活动中的电子纪录，在一定条件下计算机中的日志文件等。数字证据和其他种类的证据一样，具有证明案件事实的能力，而且在某些情况下数字证据可能是唯一的证据。同时，数字证据与其他种类的证据相比，有其自身的特点：2、电子证据的特点（2）表现形式的多样性存储介质的电子性证明准确度的高精密性脆弱性数据的挥发性当然电子证据像某些传统证据一样具有潜在性。它和指纹、DNA一样需要借助专门设备和科学方法才能显现。3、电子证据的优点电子证据和传统证据相比，具有以下优点：可以被精确的复制，这样只需对副件进行检查分析，避免原件受损坏的风险。用适当的软件工具和原件对比，很容易鉴别当前的电子证据是否有改变。譬如MD5算法可以认证消息的完整性，数据中的一个比特（bit）的变化就会引起检验结果的很大差异。在一些情况下，犯罪嫌疑人完全销毁电子证据是比较困难的。如计算机中的数据被删除后还可以从磁盘中恢复，数据的备份可能会被存储在嫌疑犯意想不到的地方。4、常见电子设备中潜在的电子证据计算机系统（computersystem）

自动应答设备（AnsweringMachines）

数码相机（DigitalCameras）

手持电子设备（HandheldDevices）

连网设备

打印机（Printers）

第3节计算机取证过程1、计算机取证的原则

2、计算机取证的步骤

3、计算机取证的阶段和注意事项

1、计算机取证的原则（1）尽早搜集证据，并保证其没有受到任何破坏、销毁或其他破坏，也不会被取证程序破坏；必须保证取证过程中计算机病毒不会被引入目标计算机；必须保证“证据连续性”（有时也被称为“chainofcustody”），即在证据被正式提交给法庭时必须保证一直能跟踪证据。也就是要能说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化，还要能够说明证据的取证拷贝是完全的，用于拷贝这些证据的进程是可靠并可复验的，以及所有的介质都是安全的；1、计算机取证的原则（2）整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督；必须保证提取出来的可能有用的证据不会受到机械或电磁损害；如果有必要进行商业运作的话，商业运作也只能影响有限的一段时间；在取证过程中，从道德上和法律上说都应当尊重不小心获取的任何关于客户代理人的信息，不能把这些信息泄露出去。2、计算机取证的步骤（1）第一，在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染；第二，搜索目标系统中所有的文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件；第三，全部（或尽可能）恢复所发现的已删除文件；2、计算机取证的步骤（2）第四，最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容；第五，如果可能并且如果法律允许，访问被保护或加密文件的内容；第六，分析在磁盘的特殊区域（最典型的是难以访问的区域）中发现的所有相关数据。

2、计算机取证的步骤（3）第七，打印对目标计算机系统的全面分析结果，以及所有可能有用的文件和被挖掘出来的文件数据的清单。然后给出分析结论，包括系统的整体情况，已发现的文件结构、被挖掘出来的数据和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其它的相关信息；第八，给出必需的专家证明和/或在法庭上的证词。3、计算机取证的阶段和注意事项（1）概括说来，计算机取证可划分为三个阶段：获取、分析和保存。获取阶段：保存计算机系统的状态，以供以后分析用。这与从犯罪现场拍摄照片，采集指纹，提取血样或轮胎纹理相类似。和自然的世界里一样，我们并不知道哪些数据将作为证据，所以这一阶段的任务就是保存所有电子数据，至少要复制硬盘上所有已分配和未分配的数据，这就是通常所说的映像。在这一阶段中，可以利用相关的工具把可疑存储设备上的数据复制到可信任的设备上。这些工具必须尽可能少地更改可疑设备，并且复制所有数据，即要保证数据的完整性。

3、计算机取证的阶段和注意事项（2）分析阶段：取得已获取的数据，然后分析这些数据确定证据的类型。我们寻找的证据主要有三种：使人负罪的证据：支持已知的推测；辨明无罪的证据：同已知的推测相矛盾；篡改证据：此证据本身和任何推测并没有联系，但是可以证明计算机系统已被篡改而无法用来作证。3、计算机取证的阶段和注意事项（3）陈述阶段却是完全依赖政策法规，这对不同的机构来说是不同的。此阶段将给出调查所得结论及相应的证据。在一个企业调查中，听众往往包括普通辩护律师，智囊团和主管人员。保密法规和公司政策将指导陈述。在法律机构中，听众往往是法官和陪审团，所以律师必须事先评估证据。

第4节相关法律需求1、电子证据的真实性

2、电子证据的证明力

3、计算机取证面临的其他困难和挑战

1、电子证据的真实性

根据法律要求，作为定案依据的证据，应当符合“真实性、合法性和关联性”这三者的要求，电子证据也不例外。

业界对此难题提出的解决方案是：对电子证据附加上“电子签名”。它是指通过技术方案赋予每个电子证据发出人电子证据一个代表其身份特征的电子密码。当证据被签发时，电子密码结合证据内容，就会自动生成一个新的特征码即“电子签名”附加在电子证据之上，成为与证据内容不可分割的一部分。以后无论任何人（包括电子证据发出人）对电子证据进行篡改后，电子证据的特征就会与原特征码不符，人们就会知道：电子证据被篡改了。如果相符，则意味着电子证据未被改动过。

2、电子证据的证明力（1）证据的证明力指的是证据对证明案件事实所具有的效力，即该证据是否能够直接证明案件事实还是需要配合其他证据综合认定？根据我国《民事诉讼法》第63条规定，法定证据共七种：（1）书证；（2）